用户行为分析产品白皮书v.docx
- 文档编号:11893827
- 上传时间:2023-06-03
- 格式:DOCX
- 页数:33
- 大小:1.25MB
用户行为分析产品白皮书v.docx
《用户行为分析产品白皮书v.docx》由会员分享,可在线阅读,更多相关《用户行为分析产品白皮书v.docx(33页珍藏版)》请在冰点文库上搜索。
用户行为分析产品白皮书v
建设文明健康安全高效的互联网
用户行为分析系统(UBA)
产品白皮书
北京网康科技有限公司
2017年2月
版权声明
北京网康科技有限公司2014版权所有,保留一切权力。
本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京网康科技有限公司(以下简称网康科技)所有,受到有关产权及版权法保护。
未经网康科技书面许可不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。
信息更新
本文档仅用于为最终用户提供信息,并且随时可由网康科技更改或撤回。
免责条款
根据适用法律的许可范围,网康科技按“原样”提供本文档而不承担任何形式的担保,包括(但不限于)任何隐含的适销性、特殊目的适用性或无侵害性。
在任何情况下,网康科技都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责,即使网康科技明确得知这些损失或损坏,这些损坏包括(但不限于)利润损失、业务中断、信誉或数据丢失。
期望读者
期望了解本产品主要技术特性的用户、企业管理人员、系统管理员、网络管理员等。
本文档假设您对下面的知识有一定的了解:
AD服务器
基本的数据分析能力
Windows操作系统
1内部威胁给企业管理带来的挑战
1.1内部威胁和大数据技术
大部分传统安全公司都定位于解决外部威胁问题,但是企业或组织的内部威胁问题更加严重,尤其在中国的大部分行业客户都是专网或内网,也更加在内部威胁投入较大。
根据国外的机构调查,85%的数据泄露是来于内部威胁,75%的内部威胁事件没有对外报告出来,53%的企业认为内部威胁的危害要远大于外部威胁。
根据国外对于UBA(用户行为分析)的市场定义来看,主要针对内部威胁、金融欺诈和目标攻击,我们接下来描述的UBA主要针对内部威胁。
内部威胁主要包含以下几种:
1内部金融欺诈,获取个人或小团体利益;
2知识产权窃取,有产权和无产权意识;
3内部间谍和内贼,窃取重要信息或资产;
4无意识泄露私有或敏感数据;
5不合规的内部行为,如访问未授权的信息、系统或网络。
根据IDC的预测,基于大数据的安全分析技术,通过搜集来自多种数据源的信息安全数据,深入分析挖掘有价值的信息,对未知安全威胁做到提前响应,降低风险,实现最佳的安全防护,基于大数据的智能安全分析将成为安全领域的发展趋势。
1.2用户面临的问题
在UBA的领域,主要针对大企业、行业组织和高等教育进行问题描述:
1.对于大企业(包括互联网企业)或行业公司组织,客户主要问题是:
a)出现安全事件,需要很繁琐的在不同设备和日志中心来查询各种信息,并且用户信息不关联,人工关联较多,查询繁琐,处理安全事件效率较低。
b)当前较难提供基于事中的有效告警和快速分析,因为大部分告警误报率较高,比如DLP,比如IDS等,需要人工二次排查工作量较大。
1.3网康UBA帮您解决内部威胁
对于内部安全威胁的泛滥这是摆在企业管理者面前的一道难题。
网康UEBA数据分析产品,提供灵活地策略管理,根据企业的个性需求量身定制,帮助企业“上好网,用好网”,实现企业安全、文明、健康、高效的网络环境。
网康用户行为分析系统(NetentSecUserBehaviorAnalytics,简称NSUEBA)是北京网康科技有限公司推出的一款专业的用户实体行为分析产品,是面向企业用户的软硬件一体化的数据分析设备。
用户行为数据化和基于大数据的智能行为分析。
UEBA帮助用户防范信息泄露、避免商业欺诈、增强服务质量、提高工作效率。
2产品形态
2.1硬件平台
网康UEBA采用软硬一体的服务器设备产品形态,与具有极高的稳定性与运行效率,可方便部署于网络机房机架中;并且具有高度的扩展性,全面满足不同用户规模的客户需求。
网康UEBA硬件平台具有下列优势:
高运行效率
网康UEBA产品全面采用先进的X8664bit架构,配合Intel高性能处理器与芯片组,并且在全应用层功能开启时依然保持极高的处理能力与运行效率。
由于使用基于服务器架构,因此具有更好的IO效率和设备稳定性。
支持主机扩展
网康UEBA支持主机节点的无限制扩容,以满足不同客户,不同数据量下的需求。
即使已经部署了UEBA系统,也可以方便的扩容,对用户数据没有影响。
2.2软件系统
网康UEBA软件系统具有下列优势:
高可用性与稳定性
网康UEBA操作系统由网康使操作系统、底层功能核心、用户界面三者具有高度的耦合性,保证了系统的高可用性与稳定性。
此外,网康UEBA软件系统对硬件平台也进行了相应的优化,使产品的稳定性大大提高。
人性化操作
网康UEBA操作模式采用B/S架构,用户可在远端利用浏览器登陆网康UEBA管理平台。
此外,UEBA在设计时就极为重视用户体验,在界面设计上采用了互联网领域先进的用户体验设计思想,例如功能模块的多标签化、审计结果的图表可视化等。
强大的日志解析和数据模型分析功能
下一节重点描述。
3功能介绍
3.1分析总览
分析总览页面是UEBA系统首页,成功登录系统之后的页面就是分析总览页面。
也可点击菜单“分析总览”进入分析总览页面。
分析总览包括9个子模块区域,具体见下图分析总览。
图分析总览
3.1.1TOP风险用户
TOP风险用户是展示UEBA系统中,风险分数最高的前10名用户。
具体如图分析总览的区域4中。
TOP风险用户,展示用户姓名,用户所属部门,用户职位以及用户的风险分数。
若要查看用户的具体信息,钻取该用户姓名即可链接到该用户的用户分析页面。
来查看用户的详细信息和名下所有的风险事件。
钻取结果如下图所示:
图用户分析
3.1.2连接最多的IP地址
“连接最多的IP地址”展示了用户访问最多的10个IP地址。
如下图所示。
图中右侧的数字表示访问次数,点击数字可钻取到相应IP地址详细信息页面,显示出所有访问该地址的详细信息。
如图所示。
图连接最多的IP地址
访问详情
3.1.3关注用户
对于需要关注的用户,可将其加入关注用户列表。
关注用户在图分析总览页面的区域5位置。
区域5展示了关注用户的姓名、部门、职位和风险分数。
关注用户可以执行新增、移除和钻取操作。
3.1.4TOP风险部门
TOP风险部门展示出风险分数最高的前10个部门,具体如图分析总览的区域8中。
图中可以查看具体风险用户个数,其中橙色为高风险用户、黄色为中风险用户、灰色为低风险用户的比例。
点击部门对应的直方图,页面跳转到用户列表页面,列示出该部门下所有的风险用户。
3.1.5最近的风险事件
分析总览页面可以直接看到整个UEBA系统中,风险事件总数、高风险事件总数和最近一周风险事件总数。
具体如图分析总览的区域3中。
其中“累计风险数”是当前系统中所有的风险事件总和,“高风险事件”是风险分数高于25的事件数总和,“最近一周风险事件”是最近一周之内发生的风险事件总和。
这3个数值都可以钻取,点击链接到事件列表页面,列示出对应的事件。
具体如下图所示:
图事件列表
3.1.6TOP地区分布
TOP风险地区,以地图着色的形式,展现各地区风险用户数量,具体如图分析总览中区域9。
TOP风险地区需要配置地理信息,配置方式可参考5-4对象配置章节。
如果重现地区覆盖,可选定该地区,滑动鼠标滚轮,将地图放大进行查看。
点击地图中的某个地区可以看到该地区下风险分数最高的前5个用户。
具体如下图。
图TOP地区分布
在区域的左下方有3个颜色块,从高到低,分别代表高风险、中风险和低风险地区。
在TOP地区分布中,支持按照风险级别进行显示。
如果只显示高风险地区,点击中风险和低风险颜色块,取消显示。
3.2云应用-员工与事件
员工与事件可以显示出所有的风险用户、所有用户的详细信息,所有风险事件,用户访问过的主机,外发的文件等功能。
在界面中包括用户列表、用户分析、事件列表、主机列表和外发文件。
点击“云应用”下“员工与事件”菜单即可进入用户列表功能。
具体如下图。
图用户与分析
3.2.1用户列表
用户列表列示了系统中所有的风险用户信息。
界面中包括风险分数范围、当前用户分布和列表详情。
界面如下图所示:
图用户列表
在用户列表页面的最上面的区域中为用户分数轴,分数轴的最右端标出了系统中最高的风险分数,下面的两个刻度从左至右分别表示低风险和中风险分割点,中风险和高风险分割点。
分数轴上面两个刻度,可以调节,分别表示显示的风险用户最小值和最大值。
用户列表页面的中间部分是分布图,通过该图,我们能看出系统中高风险、中风险、低风险用户大致分布情况。
将鼠标放置图中的颗粒上,可显示对应用户的风险信息,点击颗粒可进入用户的用户分析页面,显示出该用户的详细信息。
具体可查看4-2章节用户分析。
用户列表页面的下方区域为用户列表信息数据,列示出了所有风险用户。
显示列包括用户姓名、部门、最早出现时间、最后出现时间、风险事件数和风险分数。
默认情况下,按照风险分数降序显示。
点击任意用户姓名,页面可跳转到该用户的用户分析页面。
在列表详情的右上角有搜索输入框,支持对用户的搜索功能。
3.2.2用户分析
用户分析页面主要显示了用户的详细信息。
包括用户基本信息和用户风险趋势图和用户的异常事件列表。
可以在输入框中属于用户姓名进行查找。
下图为用户分析中用户信息,具体如下所示:
图用户信息
图中显示了用户信息包括用户姓名、用户职位、用户所在的部门,用户最早出现异常事件的时间、用户最后异常事件的时间,风险分数以及账号信息、终端IP、位置和地区信息。
在用户分析页面的中间区域为风险分数增长趋势图、事件分数分布图、事件类型分布图。
在风险分数增长趋势图中,将鼠标变放置悬浮点,页面显示出当前的风险分数,点击悬浮点,在下方详细信息区域中过滤出当天的风险事件。
如下图所示中。
图风险分数增长趋势
在事件分数分布图中,点击“加分块”,在下方的详细信息中,也能够过滤出区域对应时间段的风险事件。
如下图所示中。
图事件分数分布图
在事件类型分布图中,点击任一事件类型,在下方的详细列表中,也能够过滤出指定的事件类型。
如下图所示。
图事件类型分布图
3.2.3事件列表
事件列表页面主要显示所有异常事件分布和异常事件列表。
用户可以设定事件的显示条件,例如选择事件类型(终端相关、SSLVPN、上网行为管理、失陷主机检测、其他日志),选择事件风险(高、中、低),选定事件范围(日、周、月、半年)。
如下图事件列表中,显示了事件类型为“上网行为管理”,事件风险为“中风险”的最近24小时之内的事件列表。
图事件列表
事件列表页面的中间区域为事件类型分布图,事件类型分布图中可以看到每种事件类型所在的大致比例,将鼠标放置事件类型上,可以显示出该类型的事件总数。
点击某个事件类型的区域,在下方的列表详情中过滤出该类型的事件。
具体如下图事件类型分布所示。
图事件类型分布
3.2.4主机列表
主机列表显示用户访问过的主机地址列表,上方区域“TOP目的IP”展示了用户访问最多的IP地址。
以直方图的形式,按照访问次数比例来显示,下方区域为列表详情,列示出所有的主机IP地址。
具体如图主机列表所示。
图主机列表
在列表详情中,列出了所有的目的IP地址。
包括IP地址、备注名、地区、最后出现事件、事件个数、访问人数等列。
钻取IP地址列,页面跳转到该主机的详情页面,显示出该主机被访问的详细信息。
具体如下图所示。
图目的地址详情
在目的地址详情页面基本信息中,通过点击IP地址右侧的“修改别名”,可以为IP设置别名。
例如上图中对设置了别名“智联招聘”。
在事件详情区域中,点击任一行的用户列,可以钻取到选定用户的用户分析页面。
3.2.5外发文件
外发文件记录了所有外发文件的详细信息,既有对文件类型的总体统计,又能显示出具体的外发文件详细信息。
如下图所示:
图外发文件
3.3云应用-策略和导入
策略和导入包括策略列表、日志导入、用户导入和对象配置功能。
在菜单项中点击“云应用”下“策略和导入”菜单即可进入策略列表功能。
具体如下图所示。
图策略和导入
3.3.1内置策略
策略列表页面包括策略列表显示,新增策略,复制策略,策略查看和编辑,策略删除以及钻取等功能。
页面如下图所示。
在策略列表中显示状态、策略名、策略模型、条件、事件的分、事件数和操作列。
其中点击策略名一列可对策略进行编辑,点击事件数一列页面跳转到事件列表,列示出该策略下的所有事件。
图策略列表
3.3.2日志导入
日志导入页面完成日志类型配置的功能。
点击策略和导入下的日志导入菜单项即可进入该页面。
日志导入主要包括新增日志类型、编辑日志类型和删除日志类型功能。
以下是详细介绍:
在日志导入页面,点击“新增日志类型”按钮即可添加日志类型,详细步骤如下:
步骤1.配置基本信息,输入日志名称,选择日志格式(当前支持csv和json两种格式),选择预先准备的日志样例,点击导入。
导入成功后,点击下一步。
步骤2.自定义列名(可选)。
步骤3.点击“列名”右侧的
设置内置列。
步骤4.检查列属性,选择解析插件类型。
检查列属性中是否与实际相符,对于需要解析的,选择解析类型。
例如对于IP点分的,设置插件类型为“添加位置信息”。
步骤5.配置关联信息,输入标识字段、用户列、属性和时间列。
步骤6.如果有多个用户列,需配置关联,则点击“
”,配置关联。
参数输入完成点击确定。
步骤7.所有配置完成后,点击“完成”。
系统检查通过,返回生效提示,在日志列表中可以看到新配置项。
3.3.3用户导入
通过配置连接LDAP服务器,可以获取用户信息。
实现每日自动同步,增量更新的功能。
点击菜单项“策略和导入”下的“用户导入”菜单,页面跳转用户导入页面。
配置AD服务器步骤:
步骤1.输入AD域服务器IP地址,服务器端口,管理员名称,管理员密码,然后点击“获取BaseDN”按钮,如图。
连接成功后服务器IP后面的“尚未配置服务器”就会变成“服务器连接成功”。
(见步骤2中图)。
图AD域配置
步骤2.服务器连接成功之后,在下拉框入口(BaseDN)选择相应的DN。
如下图。
图选择入口DN
步骤3.选定远端DN,点击“获取远端DN”,在用户树中选择远端DN后,点击确定。
如下图所示。
图选择远端DN
步骤4.如果需要增加过滤条件,勾选“显示高级配置”,进行设置。
配置完成之后,点击“保存配置”。
至此已完成LDAP服务器导入用户的配置。
如下图。
图保存配置
用户信息也可以通过文件的形式进行导入,当前支持csv文件导入。
在用户导入页面,点击页面中的“自定义文件导入”,即可进入用户csv文件导入页面。
用户导入步骤如下:
步骤1.在用户文件导入页面,点击
,进入文件上传的对话框,选择已经备好的用户csv文件,点击打开。
具体如下导入csv文件所示:
图导入csv文件
3.3.4对象配置
点击菜单项“策略和导入”下的对象配置,进入对象配置页面。
在对象配置页面下添加地理位置信息。
步骤如下,点击“新增地址位置”,输入IP网段、别名、描述,选择地区。
点击确定,完成地理位置添加。
界面如图新增地理位置所示。
图新增地理位置
3.4系统配置
3.4.1系统部署
在UEBA主页面上,点击菜单“系统配置”“系统部署”即可进入系统部署页面。
系统部署是在UEBA完成安装之后执行的,可以配置系统为单机模式或者集群模式,配置主机的外网IP地址和内网IP地址。
具体配置如下。
单机模式
若要配置UEBA系统为单机模式,步骤比较简单,只需要配置外网地址即可。
在模式中选择“单机”,输入规划好的IP地址及其掩码、网关。
配置完成后,点击“保存”按钮。
如下图所示。
图部署单机模式
集群模式
若配置UEBA系统为集群模式,需要配置主节点和从节点。
配置主节点方法如下。
步骤1.在UEBA的系统部署页面中,选择模式为“集群”,节点类型选择“主节点”。
具体如下图所示。
图配置主节点
步骤2.配置主节点的内网地址和外网地址。
分别输入规划好的内网地址及其掩码、网关地址,和外网地址及其掩码、网关地址。
步骤3.添加从节点信息。
在“配置从节点”中输入从节点的IP地址,点击“添加”按钮。
添加成功之后,可以在下方列表中看到从节点信息。
具体如下图所示。
图添加从节点
如果部署了多个从节点,重复执行步骤2可以继续添加从节点。
对于从节点,配置方式如下。
步骤1.首先登录从节点的UEBA系统,在“系统部署”页面,选择模式“集群”,节点类型选择“从节点”。
步骤2.配置从节点的内网地址,输入规划的内网IP地址,以及掩码、网关,点击“保存”。
步骤3.在“配置主节点”中输入,主节点的内网地址,点击“添加”。
可以在下方看到添加结果。
具体如下图所示。
图配置从节点
3.4.2系统状态
从主页面上点击菜单项“系统配置”“系统状态”进入系统状态页面。
该页面显示最近24小时内设硬件使用情况和各系统组件状态,具体如图。
图硬件状态
3.5账号管理
点击UEBA菜单“admin”->“账号管理”进入该页面。
账号管理页面,可以修改admin用户密码,修改公司详细信息。
在账号信息页面点击“修改密码”,页面弹出修改密码对话框。
输入原密码,新密码,点击确定完成密码的修改。
如下图。
图修改密码
在账号信息页面,点击“修改信息”,如下图修改用户信息所示。
图修改用户信息
4特点与优势
作为一款优秀的用户行为分析产品,网康UEBA全面引领国内行业潮流,并在多个方面达到国际水平。
4.1高度灵活的日志学习能力
日志接收和理解是UEBA分析的核心功能之一,并且是数据分析的基石。
网康UEBA的日志学习能力在灵活性、易用性等方便有明显优势。
支持CSV和JSON两种日志格式
CSV日志需要客户配置分隔符,系统能根据配置的分隔符,自动切割每条日志。
如果是JSON日志,系统天然支持,无需做任何配置。
日志导入自定义解析
界面上提供了日志导入功能。
客户将需要处理的原始日志导入系统中,系统将自动解析,解析出日志的每个值域。
客户可以针对每个域进行编辑:
重命名、选择解释器。
解释器为定义数据模型提供了更多的方便,不同解释器解析后,数据模型构建会提供不同的运算符。
目前有的解释器:
1时间解释器
2IP地址解释器
3邮箱解释器
4数值解释器
5字符解释器
除了解释器外,日志解析还提供了Enrich能力,如IP地址,可以选择增加Enrich地理位置信息等。
针对用户信息的学习能力
网康UEBA提供了日志的用户关联能力,客户配置了相应的日志的客户信息,能获取更好的用户关联效果,提供基于用户的一些日志Enrich。
目前支持的用户关联有:
工号、VPN账号、邮箱、IP地址、AD域信息、电话信息,通过指定这些用户信息,系统能更好的完善每一个用户信息,方便用户展示和统计。
4.2强大的数据模型构建能力
数据模型的构建是数据分析的最为核心的能力。
网康UEBA设备为此设计了基于客户自定义的数据模型构建,为各种行为分析提供了更多的可能。
可以针对任意日志建立分析模型,通用性大大提高。
内容丰富的策略条件
网康UEBA能够对任意日志的任意列,提供运算符。
目前支持的运算符有时间匹配、IP地址匹配(属于、地址段匹配)、数值匹配(大于,小于,等于)、字符类匹配(等于、不等于、模糊匹配、属于、首次出现、发生变化)等。
并且支持多个列的组合,列与列之间是与关系。
针对任意的列,还提供了频率条件(支持小时/天范围内的频率统计)。
列于列之间也为与关系。
最后的结果,也是用户定制的。
可以选任意的列,并且输入任意的解释文字。
输出最终的事件信息。
基于用户角色信息的分数配置
网康的UEBA系统为每个用户提供了6个等级,每个等级的用户针对每个数据模型产生的事件可以记录不同的分值。
目前定义了如下几个角色:
0级即将离职
1级绩效不佳
2级高级领导
3级HR想关
4级公共账号
5级普通员工
为每个用户定义不同的标签,可以更真实的反应某一活动的影响。
基于基线的数据分析
可以配置一些数据的基线统计,基于若干天的历史记录做出决策。
通过基线去定义用户正常的状态,一旦基线建立,用户可以聚合数据,定义出用户的异常行为。
目前支持最大值、最小值、平均值等一些常用的基线统计方法,并且这些也是可以可选的。
实时统计,策略展示友好
每个定义好的数据测量,都会实时的显示当前基于这个策略产生的事件数目,方便数据分析人员,及时的调整不合理的模型配置。
4.3创新的流处理和批处理双引擎
主流的大数据分析产品有流式处理和批处理两种方式,两种处理方式各有优势。
网康UEBA系统创新的将两种分析融合到一个系统中,为客户提供性能更好、更灵活的数据分析平台。
4.4灵活的组网扩容方案
网康UEBA数据分析系统,针对不同的客户容量和需求,有2种部署方案供客户选择。
单机模式
集数据收集、数据处理、数据分析为一体化的单一硬件平台,适合日志量不是很大,或者数据分析种类不多的用户。
部署简单,仍然具有以后扩容的能力。
集群模式
针对一些日志量巨大的,或者分析任务要求高的客户,UEBA提供了集群模式的模式,集群每个节点自动适配,无需管理员过多的介入,仅需要保证整个子网的连通性即可,提供强大的分析能力。
4.5人性化界面设计,易于操作管理
管理界面简洁清晰,美观大方
网康UEBA管理界面采用最新的web技术,结合传统C/S的操作风格,大大加强了Web操作的交互能力。
界面结构清晰,美观大方,从整体布局到细小按钮都经过精心设计,充分贴合用户的思维、操作习惯。
树型控制元素,实现便捷操作
UEBA的员工与事件、策略和导入等多种控制元素都以树型结构展示,一目了然,便于操作和管理。
集中显示系统宏观信息
UEBA采用集中显示用户信息和关键事件活动,使管理员可以迅速了解最重要的信息。
4.6运行稳定可靠
全系列设备支持双路电源,避免电源失效导致的系统中断;
硬件设备采用的是定制的通用服务器,具有很高的产品可靠性;
多节点的系统部署方式下,默认开启了数据冗余,在其中一个数据节点失效情况下,整个系统仍然能保持正常运行。
4.7独立的日志中心
支持独立的数据备份;
基于分布式的查询,实现原始日志的秒级查询;
5产品的部署
网康UEBA支持多种部署方式,以适应不同用户的容量需求。
5.1单机部署
UEBA单机部署方式
5.2多节点部署
UEBA集群部署方式
6关于网康科技
北京网康科技有限公司(以下简称网康科技)成立于2004年,总部位于北京,是中国上网行为管理理念的缔造者和下一代网络安全管理的引领者。
自2005年发布中国第一款上网行为管理产品(ICG)以来,网康科技陆续推出下一代防火墙(NGFW)、智能流控(ITM)、广域网优化网关(WOG)等产品,产品覆盖网络安全、终端安全、网络优化,形成了完整的网络安全与管理解决方案。
顺应移动互联网和云计算的发展,网康科技于2015年发布PDFP新型网络安全模型,率先推出“云管端下一代网络安全架构”,实现“云管端”智能协同、主动防御,有效应对未知威胁与APT攻击。
网康科技是业界最具技术创新和产
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 用户 行为 分析 产品 白皮书